Als auditor de lijn in om de digitale weerbaarheid te verhogen

De Universiteit van Amsterdam (UvA) en de Hogeschool van Amsterdam (HvA) hebben gezamenlijk ongeveer 90.000 studenten, 11.000 medewerkers en 3000 promovendi. Onderwijs en onderzoek worden bij de UvA en HvA in steeds grotere mate ondersteund door digitale middelen, waarmee het belang van digitale weerbaarheid steeds verder toeneemt. Audit Magazine sprak met Roeland Reijers, chief information security officer van de UvA en HvA, en Mohamed Amezguiou, auditor informatiebeveiliging (IB) binnen de UvA en HvA.

Wat is digitale weerbaarheid?

Roeland Reijers (RR): “Digitale weerbaarheid, cyberweerbaarheid of cyber resilience is de veerkracht van een organisatie en haar digitale systemen en processen. Digitale weerbaarheid wordt uitgedrukt in de snelheid en effectiviteit waarmee een organisatie zich weet te herstellen na een incident. Digitale weerbaarheid op hoog niveau krijgen en houden is essentieel bij grote instellingen als de UvA en de HvA. Dat is niet alleen een mooie uitdaging, maar ook complex. Het maakt dat ik ervoor koos Mohamed onderdeel te maken van mijn team. Een auditor als onderdeel van het CISO-team is minder bedreigend en kan adviserend optreden. Dat heeft absolute voordelen voor de organisatie.”

Roeland Reijers: “De IB-auditor heeft een andere rol dan de interne auditor die voor de hele organisatie werkt. De IB-auditor monitort ook meteen de voortgang op het verbeterplan”

Een auditor als onderdeel van de tweede lijn?

RR: “Ik begrijp dat het niet heel gebruikelijk is, maar het helpt om de organisatie sneller weerbaarder te maken. Naast de interne en externe auditors die hier met enige regelmaat over de vloer komen, zie ik voordelen van het werken met een interne auditor in het team. Mohamed, in dit geval, wordt als collega gezien en dat is minder bedreigend dan een derdelijnsauditor. Het voordeel is dat er meteen samen een verbeterplan wordt gemaakt, met input hoe de volgende stap wordt bereikt. Dat werkt efficiënter en zo kunnen we beter en sneller voldoen aan het in onze branche geldende normenkader.

RR: “Een schone taak, want na de hack bij de Universiteit van Maastricht in december 2019 bleek uit het rapport Binnen zonder kloppen van de Inspectie van het Onderwijs dat informatiebeveiliging nog niet overal voldoende op orde is. Dit rapport en de hack die begin 2021 bij de UvA en de HvA plaatsvond zijn aanleiding geweest om zo snel mogelijk aantoonbaar in control te komen. Dat belang is voor onze organisaties zo groot dat we daar ook de nodige extra capaciteit voor hebben gekregen. De IB-auditor heeft een andere rol dan de interne auditor die voor de hele organisatie werkt. Naast het uitvoeren van een assessment monitort de IB-auditor ook meteen de voortgang op het verbeterplan.”

In hoeverre verschilt de rol van de IB-auditor met die van de derdelijnsauditors?

Mohamed Amezguiou (MA): “De interne auditors van de UvA en HvA hebben een controlerende functie, terwijl ik als IB-auditor vanuit de tweede lijn niet alleen controleer, maar ook help met de oplossing. En dat doe ik dan weer vanuit een ander perspectief dan de CISO. We willen allebei natuurlijk de veiligheid en continuïteit van onderwijs, onderzoek en bedrijfsvoering waarborgen. Als we het hebben over de kroonjuwelen, dus de cruciale systemen zoals de medewerkers- en studentenadministratie, kijk ik naar het procesrisico. De CISO kijkt meer naar de algehele businessrisico’s en dat kan soms botsen.”

RR: “De samenwerking met de interne auditafdeling van de UvA en HvA blijft natuurlijk cruciaal. Je kijkt met elkaar mee, daagt elkaar uit, levert dezelfde kwaliteit die gebruikelijk is bij audits volgens de methodiek die we intern hanteren. We werken als één team samen om het volwassenheidsniveau van de organisatie te verhogen. Overigens is de steun die we daarbij krijgen vanuit het management en de directie ook essentieel.”

Wat maakt deze hogere onderwijsinstellingen zo speciaal?

MA: “Uit mijn audits volgt dat beide organisaties heel complex zijn en dat niet altijd duidelijk is waar het eigenaarschap belegd is.”

RR: “Klopt, en beide organisaties hebben een eigen cultuur en zijn zeer decentraal georganiseerd. Bovendien is er veel behoefte aan autonomie bij docenten, onderzoekers en studenten. Dat maakt het soms lastig.”

MA: ”Een andere bevinding is dat veel mensen denken dat de audits en alles wat het CISO-team doet een IT-aangelegenheid is. Ze gaan ervan uit dat de IT-afdeling het wel regelt. De urgentie om samen te werken ontbreekt soms. Dat zie je bijvoorbeeld bij ketenbeheer. Als er een contract moet worden gesloten met een nieuwe leverancier houdt niemand rekening met IT of security.”

Wat maakt de rol van IB-auditor zo interessant?

MA: “Ik heb als IB-auditor dagelijks te maken met verschillende belangen, veel stakeholders en gevoeligheden. Dat maakt deze opdracht heel uitdagend. Wat mij drijft is dat ik de mogelijkheid krijg mee te denken over de oplossingen, ook al loop ik soms tegen weerstand aan. Iedereen kan feitelijk opschrijven wat hij constateert en als een soort politieagent functioneren. Maar wat ik zo interessant vind is dat deze organisaties juist een helpende hand nodig hebben. Ik kijk als een echte auditor, maar help mee met de implementatie van de oplossingen en bereid de mensen voor op de externe audit. Ik neem ze als het ware bij de hand om te laten zien waar we heen moeten.

Mohamed Amezguiou: “Ik kijk als een echte auditor, maar help mee met de implementatie van de oplossingen en bereid de mensen voor op de externe audit”

MA: “Een externe audit levert een rapport op en vervolgens moet je maar zien of je daar iets mee kunt. Het omzetten van feitelijke bevindingen naar advies, dat kan niet iedereen. Dat is mijn uitdaging! Wat ik ook leuk en interessant vind aan mijn positie is dat ik in feite iedereen controleer. Dus ook de CISO. Hij is immers verantwoordelijk voor bepaalde onderdelen binnen de onderwijsinstelling.”

RR: “Nou inderdaad. Ik moet ook voldoen aan het normenkader.”

Hebben jullie nog tips voor de lezers?

MA: “Zeker, allereerst denk ik dat het belangrijk is om een multidisciplinair team samen te stellen waarin iedereen achter de missie van dat team staat. Verder moet je enerzijds als auditor ook de moeilijke en zware onderwerpen durven te bespreken, en anderzijds als auditee ook openstaan voor de boodschap van je auditor. Voorkom als auditor rapportages met een ‘roze bril’ en adviseer de organisatie hoe te verbeteren: constateer, formuleer bevindingen, geef advies, luister en zet een realistisch verbeterplan op. Tot slot nog een inkopper, zoek actief naar en maak gebruik van de best practices die verkrijgbaar zijn.”